Ένα παράδειγμα κακόβουλου λογισμικού γνωστό ως LizaMoon έχει επηρεάσει τις συνδέσεις σε εκατομμύρια ιστοσελίδες, συμπεριλαμβανομένων και ορισμένων που είναι συνήθως ασφαλείς, όπως το iTunes και το Google. Ευτυχώς, το LizaMoon είναι εύκολο να αποφευχθεί εάν ξέρετε τι ψάχνετε.
Χρησιμοποιώντας τακτικές “εκφοβισμού”, το LizaMoon προσπαθεί να σας ξεγελάσει ώστε να “τρέξετε” ψευδή εργαλεία ελέγχου ασφαλείας και καθαρισμού ιών στον υπολογιστή σας – αλλά είναι καθαρό κακόβουλο λογισμικό.
Αν εισβάλλει στον υπολογιστή σας, αυτό το συγκεκριμένο τέχνασμα είναι ιδιαίτερα ενοχλητικό, επειδή μπορεί να απενεργοποιήσει μερικώς το Κέντρο Ασφαλείας των Windows και να αλλάξετε το μητρώο, έτσι ώστε η πλήρης WSC δεν μπορεί να επανεκκινήσει. Παρεμβαίνει επίσης στο Microsoft Security Essentials, αν είναι σε λειτουργία.
Η συνάντηση μου με το LizaMoon άρχισε ξαφνικά ένα βράδυ, όταν μια ύποπτη προειδοποίηση εμφανίστηκε στην οθόνη μου. Χρησιμοποιώ το Microsoft Security Essentials και το τείχος προστασίας των Windows 7 για την προστασία όλων των υπολογιστών μου. Για πάνω από ένα χρόνο συνεχούς χρήσης, δεν είχα ποτέ κανένα πρόβλημα κακόβουλου λογισμικού. Όμως, αυτό ξαφνικά άλλαξε.
Εκείνο το βράδυ, έψαχνα για κάτι μέσω του Google – δεν θυμάμαι τι. Όταν έκανα κλικ σε ένα σύνδεσμο, μια κενή σελίδα με το διάλογο στην Εικόνα 1 εμφανίστηκε αντί του site που περίμενα.
Εικόνα 1. Ένα αρχικό παράθυρο διαλόγου του LizaMoon.
Αμέσως άρχισε να χτυπάει το κουδούνι του κινδύνου μέσα στο κεφάλι μου – το πλαίσιο διαλόγου αναγνωρίστηκε ως ένα μήνυμα από την ιστοσελίδα. Αλλά γιατί μια τυχαία, εξωτερικά ιστοσελίδα εμφανίζει κάτι που έμοιαζε με ένα τοπικό μήνυμα ασφαλείας;
Επίσης, πώς θα μπορούσε μια τυχαία ιστοσελίδα να ξέρει τι είχε εγκατασταθεί στο σύστημά μου (ύποπτα προγράμματα ή όχι); Η προειδοποίηση δεν είχε κανένα νόημα.
Υπήρχαν πολλά περισσότερα που έδειχναν ότι το παράθυρο διαλόγου ήταν ψεύτικο. Για παράδειγμα, η τρίτη πρόταση είναι σε Αγγλικά χωρίς σύνταξη – τα Microsoft παράθυρα διαλόγου δεν είναι έτσι. Και το έναυσμα: Κρατάω το σύστημά μου πολύ καθαρά, έτσι οι πιθανότητες ότι ξαφνικά θα περιείχε “μια ποικιλία από ύποπτα προγράμματα” είναι σχεδόν μηδενική.
Τότε κατάλαβα. Είχα συναντήσει μια πραγματική εισβολή από σελίδα του LizaMoon!
Συνήθως, όταν αντιμετωπίζετε οποιοδήποτε ύποπτο πλαίσιο διαλόγου ιστοσελίδας, η σωστή διαδικασία είναι να την απορρίψετε, μέσω του κόκκινου X στην επάνω δεξιά γωνία του παραθύρου διαλόγου ή να κλείσετε απλώς το πρόγραμμα περιήγησης. (Αν χρειάζεται, μπορείτε επίσης να χρησιμοποιήσετε τη Διαχείριση Εργασιών των Windows για να “σκοτώσετε” το κακόβουλο λογισμικό και τις μεθόδους του.)
Στη συνέχεια, αν νομίζετε ότι μπορεί να έχετε κάποιο πρόβλημα ασφαλείας, θα πρέπει να ξεκινήσετε χειροκίνητα κάποιο από τα καλά εργαλεία ασφαλείας απευθείας από αξιόπιστες πηγές. Σε καμία περίπτωση δεν θα πρέπει να εκκινήσετε άγνωστο λογισμικό που ενεργοποιείται από τυχαίες επισκέψεις σε ιστοσελίδες.
Στην περίπτωσή μου, όμως, αυτό ήταν ακριβώς το είδος του κακόβουλου λογισμικού που έψαχνα για να δοκιμάσω. Στη διάρκεια των τελευταίων μηνών, οι αναγνώστες ανέφεραν πως αντιμετωπίζουν νέο κακόβουλο λογισμικό που μεταμφιέζεται ως ένα εργαλείο ασφάλειας – κακόβουλο λογισμικό που απενεργοποιεί ή παρακάμπτει το Microsoft Security Essentials. Είχα προσπαθήσει να το ανακαλύψω για εβδομάδες. Και ξαφνικά, ήταν εκεί.
Ζώντας επικίνδυνα: πιάνοντας το δόλωμα του κακόβουλου λογισμικού
Με δεδομένη αυτή την απρόσμενη ευκαιρία, πήρα μια βαθιά ανάσα και έκανα κλικ στο κουμπί OK, γνωρίζοντας πολύ καλά ότι έδινα εθελοντικά στην ιστοσελίδα άδεια να αλληλεπιδράσει με τον υπολογιστή μου.
Μια νέα σελίδα άνοιξε, έδειξε μια δραστηριότητα ψεύτικης “σάρωσης” (κατά πάσα πιθανότητα, απλώς μια κινούμενη .Gif), και στη συνέχεια ανέφερε έναν τεράστιο αριθμός ανακαλυφθέντων ιών και προβλημάτων ασφαλείας.
Ήξερα ότι το σύστημά μου ήταν καθαρό, έτσι ώστε αυτή η έκθεση της εκτεταμένης μόλυνσης ήταν σαφώς ψεύτικη. Αλλά επειδή η διάταξη της σελίδας και τα εικονίδια μιμούνται τα οικεία εργαλεία των Windows, θα μπορούσαν να ξεγελάσουν εύκολα τους περιστασιακοούς χρήστες για να πιστέψουν ότι η προειδοποίηση ήταν πραγματική.
Μετά από ένα λεπτό ψεύτικης δραστηριότητα σάρωσης, ένα νέο παράθυρο διαλόγου άνοιξε – προσφέροντας “Κατάργηση όλων” των απειλών (βλ. Εικόνα 2).
Εικόνα 2. Κάνοντας κλικ στο “Κατάργηση όλων” σε αυτό το ψεύτικο παράθυρο διαλόγου ασφαλείας αρχίζει το κατέβασμα του κακόβουλου λογισμικού. Βρείτε έναν τρόπο να κλείσετε το παράθυρο, όπως συζητήθηκε στο κείμενο.
Ο νέος διάλογος χτύπησε ακόμα πιο έντονα το κουδούνι του κινδύνου. Τα Windows αναγνωρίζουν κανονικά το λογισμικό ή το υποσύστημα που εμπλέκεται στις ειδοποιήσεις ασφαλείας – όπως το Κέντρο Δράσης, το Κέντρο Ασφαλείας, το Security Essentials, ή οτιδήποτε. Ένα παράθυρο διαλόγου με απλά την ένδειξη “Προειδοποίηση ασφαλείας των Windows” είναι ύποπτο γενικά.
Και σχετικά με το “Windows Defender”; Αυτό είναι αυτόνομο εργαλείο για κακόβουλο λογισμικό της Microsoft με τα Vista και Win7 και είναι διαθέσιμο για δωρεάν κατέβασμα για τα XP. Ο πρόδρομος του πληρέστερου Microsoft Security Essentials, είναι απενεργοποιημένο κατά την εγκατάσταση του MSE. Επειδή έχω MSE ενεργό στο σύστημά μου, δεν θα πρέπει να ενεργοποιεί το Windows Defender.
Σε εκείνο το σημείο, θα πρέπει κανονικά να προσπαθήσετε να κλείσετε την προειδοποίηση κάνοντας κλικ στο κόκκινο X. Για να δω τι θα συμβεί στη συνέχεια, πάτησα”Κατάργηση όλων”, γνωρίζοντας ότι προκαλούσα πρόβλημα.
(Αν μετρήσατε – και το έκανα – ξέρετε ότι αυτό ήταν η δεύτερη εντελώς εθελοντική δράση μου που οδηγεί σε μόλυνση.)
Μια πραγματική και απολύτως νόμιμη προειδοποίηση ασφαλείας παραθύρου λήψης αρχείων Windows άνοιξε, όπως φαίνεται στην Εικόνα 3. Αλλά ενώ το προηγούμενο παράθυρο διαλόγου αναφερόταν στο”Windows Defender”, αυτό το παράθυρο διαλόγου ζήτησε άδεια για να κατεβάσετε ένα πρόγραμμα εγκατάστασης για το “Defender Internet”. Επιπλέον, ο διάλογος έδειξε σαφώς ότι το αρχείο ήταν από μια τοποθεσία που ονομάζεται update65.saceck.co.cc – έχι της Microsoft!
Σαφώς, οι συγγραφείς του LizaMoon είναι σίγουροι ότι οι άνθρωποι δεν δίνουν προσοχή σε αυτές τις λεπτομέρειες.
Εικόνα 3. Αυτό το παράθυρο διαλόγου έχει αρκετές ανακολουθίες ονοματοδοσίας: το προηγούμενο παράθυρο διαλόγου αναφέρεται στο Windows Defender, αλλά αυτό προσφέρει κάτι που ονομάζεται Defender Internet. Επίσης, δεν προέρχεται από γνωστή διεύθυνση, όπως το Microsoft.com.
Αγνοώντας ακόμα μια ευκαιρία να διασωθώ πριν μολυνθ’ω, έκανα κλικ στο κουμπί Αποθήκευση και εισήρθα στην τοποθεσία όπου βρίσκεται το αρχείο που πρέπει να αποθηκευτεί (η τρίτη εθελοντική δράση προς την κατεύθυνση της μόλυνσης).
Το φως στον σκληρό δίσκο μου τρεμόπαιξε για λίγο και κατάπια, γνωρίζοντας ότι ένα κακόβουλο φορτίο μόλις είχε παραδοθεί στον προσωπική υπολογιστή μου. (Ναι, το σύστημά μου είχε αντίγραφο ασφαλείας και τα ευαίσθητα δεδομένα μου κρυπτογραφημένα.)
Έτοιμοι ή όχι, το κακόβουλο φορτίο φτάνει
Είχα σκοπό να αποσυνδέσω τον υπολογιστή μου από το δίκτυο πριν τρέξει το κακόβουλο λογισμικό έτρεξε, υποθέτοντας ότι η αποσύνδεση θα κρατήσει μακριά οποιαδήποτε βλάβη στο σύστημα και τα προσωπικά δεδομένα δεν μπορούν να εξαχθούν.
Αλλά πρέπει να υπήρχε ένα script που έτρεχε κάπου, γιατί το πρόγραμμα εγκατάστασης κακόβουλου λογισμικού αμέσως προσπάθησε να κάνει επανεκκίνηση. Ευτυχώς, τα Windows ανέφεραν ένα σφάλμα NSIS (βλ. Εικόνα 4). Το NSIS είναι SourceForge’s Nullsoft Scriptable Install System, και το σφάλμα σημαίνει ότι ένα script εγκατάστασης απέτυχε σε έλεγχο ακεραιότητας.
Εικόνα 4. Το πρώτο σημάδι προβλήματος μετά το κατέβασμα του λογισμικού
Πηγή: Fred Langa
| Connect | |||||||
| Sign Up for Our Newsletter Today! | |||||||
|
|
|||||||
|
|||||||
| Web TV | |
|
|
|
|
Steve Jobs Stanford Commencement Speech |
|
